보고서 정보
주관연구기관 |
한국침해사고대응팀협의회 CONsortium of CERTs |
연구책임자 |
유진호
|
참여연구자 |
심상현
,
김성진
,
민경준
,
원유재
,
유승동
,
송진호
,
유민재
,
이광연
,
김규리
,
백성현
,
우한솔
,
정준영
|
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2017-11 |
과제시작연도 |
2017 |
주관부처 |
산업통상자원부 Ministry of Trade, Industry and Energy |
등록번호 |
TRKO201800039189 |
과제고유번호 |
1711057119 |
사업명 |
ICT진흥및혁신기반조성 |
DB 구축일자 |
2018-09-15
|
초록
▼
4. 연구 내용 및 결과
1) 글로벌 사이버보험 시장 동향
□ 전세계 사이버보험 시장 동향
ㅇ 전세계 사이버 리스크 현황
- 사이버 범죄로 인한 세계 경제 손실 규모는 연간 4,450억 달러(452조원) 수준으로 세계 GDP의 0.8%에 해당하며, 사이버 범죄 규모는 2019년까지 최대 2.1조 달러에 이를 것으로 전망됨.
- 알리안츠(Allianz)사에서 실시한 설문에 따르면 기업 경영에 위협을 주는 요인으로 사이버 리스크는 2013년 6%(15위)에 불과했지만 2015년 17%(5위)로 크게 증
4. 연구 내용 및 결과
1) 글로벌 사이버보험 시장 동향
□ 전세계 사이버보험 시장 동향
ㅇ 전세계 사이버 리스크 현황
- 사이버 범죄로 인한 세계 경제 손실 규모는 연간 4,450억 달러(452조원) 수준으로 세계 GDP의 0.8%에 해당하며, 사이버 범죄 규모는 2019년까지 최대 2.1조 달러에 이를 것으로 전망됨.
- 알리안츠(Allianz)사에서 실시한 설문에 따르면 기업 경영에 위협을 주는 요인으로 사이버 리스크는 2013년 6%(15위)에 불과했지만 2015년 17%(5위)로 크게 증가하였고, 2016년 28%(3위)까지 높아져 사이버 리스크의 중요성이 상당히 강조되고 있음.
ㅇ 전세계 사이버보험 시장 규모
- 알리안츠(Allianz)사는 사이버 피해 보험 시장의 규모는 2015년 기준 약 20억 달러(약 2조 3,000억 원) 규모에서 2025년까지 약 200억(약 22조 8,000억 원) 달러 규모의 수준으로 급성장할 것으로 전망
- 로이즈(Lloyd’s)사는 폭넓게 사용되고 있는 소프트웨어가 해커들의 공격에 무너질 경우 적게는 97억 달러(약 11조 300억 원)에서 많게는 287억 달러(약 32조 6,000억 원) 손실까지 이를 것이라 전망
□ 미국의 사이버보험 시장 동향
ㅇ 미국의 사이버 리스크 현황
- 미국 정부가 발표한 통계에 의하면 사이버 범죄 피해액이 최근 10년 사이에 매년 19.3% 수준으로 증가, 피해액은 2005년 2억 달러(약 2,272억 원)에서 2015년 10억 7000만 달러로(약 1조 2,154억 원) 10년 사이에 약 5배가 넘게 증가
ㅇ 미국의 사이버보험 시장 규모
- 2017년 기준으로 미국 내 사이버보험시장 규모는 연간 40억 달러로 추산되고, 앞으로도 10~25%의 지속적인 성장이 예상
- 2013년부터 2017년까지의 사이버보험시장 규모 합계는 약 133억 달러에 이름
ㅇ 미국의 사이버보험 종류
- 미국의 정보보호보험의 종류는 All risk 재물보험, 기업휴지손해보험(Business Interruption Insurance), 영업배상책임보험(Commercial General Liability), 과실 및 태만 보험(Errors and Omissions Liability), 인터넷배상책임보험(Internet Liability Insurance), 네트워크 시큐리티 보험(Network Security Insurance) 등으로 구분
□ 영국의 사이버보험 시장 동향
ㅇ 영국의 사이버 리스크 현황
- Ponemon의 2015년 데이터 유출 연구 보고서에 의하면 영국에서 개인정보 유출 기록의 평균수는 21,695건이며, 영국 데이터 유출의 1인당 비용 평균 발생비용은 129파운드로 전년 대비 3.2% 증가
ㅇ 영국의 사이버보험 시장 규모
- 보험 중개 기업인 Marsh에 따르면 2014년 영국의 보험회사 사이버보험 수입 보험료는 2,000만(296억 원)~2,500만(369억 원) 파운드에 이르는 것으로 추정
- 2018년에 시행되는 EU GDPR 및 NIS(Network and Information Security)가 기업들의 배상책임에 대한 부담을 증가시켜 사이버보험 시장을 성장시키고 사이버보험의 수요의 증가 추세가 가속화 될 것으로 예측
□ 일본의 사이버보험 시장 동향
ㅇ 일본의 사이버보험 시장 규모
- 일본은 2003년 5월 개인정보보호에 관한 법률이 제정·공포되면서 사회적으로 개인정보 취급에 관한 의식이 급속히 높아짐
- 정보보호 보험 시장은 정보보호 서비스 시장의 3.3%를 차지하고 있으며, 정보보호 보험 시장규모는 2017년 기준 약 156억 엔으로 추정
ㅇ 일본의 사이버보험 종류
- IT 관련 정보보호 손해보험은 일본 내에서 정보시스템이나 컴퓨터 네트워크를 이용하고 있는 기업이 사고로 인해 제기된 손해배상청구에 대하여, 법률상의 배상책임을 지게 되어 입는 손해(손해배상금, 쟁송비용)를 보상
- 개인정보취급사업자 배상책임보험은 개인정보를 취급하는 많은 사업자를 대상으로 개인정보를 유출한 경우나 유출할 우려가 생긴 경우에 신속히 그 해결에 나설 수 있도록 사업자가 부담하는 여러 가지 손해를 보상
ㅇ 일본의 사이버보험 보장 범위
- IT관련 정보보호 손해보험의 비용보상 내역으로는 제3자의 업무 수행 전부 혹은 일부의 휴지 또는 저해, 전자정보의 소실·손괴, 전자정보의 유출, 인격권 침해·저작권 침해, 그 외 예측할 수 없고 돌발적으로 생긴 사유가 포함
- 개인정보취급사업자보험의 특징으로는 개인정보 취급사업자에게 필요한 보상을 종합화한 일본 최초의 상품이고, 제3자에 대한 손해배상에 이어 브랜드 보호 비용(개인정보를 유출한 사업자가 기업 브랜드 가치를 방어하기 위해 지출하는 사죄광고비 등의 비용)을 보상
□ 표준화 관련 동향
ㅇ 2016년 10월 ISO/IEC JTC 1/SC 27에서는 “Guidelines for cyber insurance”라는 가이드라인을 제안
- 적용 범위는 사이버 위협으로 인해 발생하는 사이버 리스크들을 전가하는 수단으로서의 사이버보험, 보험자와 피보험자 간의 정보 공유, 사이버보험 시장에서의 정보보안전문가의 역할, ISMS와 사이버보험 간의 연계 등
- 사이버보험의 개념은 하나 이상의 사이버 보안 사고의 영향을 관리하는데 사용할 수 있는 위험처리 옵션
- 정보보호관리체계(ISMS)는 사이버보험 정책과 관련된 데이터 및 정보 수집을 지원하는 데 사용될 수 있음. 조직은 ISMS, 사이버 보안 측정 프로그램(ISO/IEC 27004 기반), 위험 관리 활동(ISO/IEC 27005 기반)에 관한 데이터를 수집하고, 이를 사이버보험에 활용할 수 있음
2) 사이버보험에서의 위험과 비용 정의
ㅇ 보험에서의 위험이란 손실, 사상, 재난 등이 발생할 가능성을 의미하는 것으로 바람직하지 않은 사태(경제적 손실)와 그러한 사태의 발생에 관한 불확실성을 내포하는 것
- 사이버 사고에서의 위험은 기업 및 기관의 소프트웨어에 해커가 취약점을 이용하여 정보를 탈취, 기업/기관 자체의 과실 및 태만(Error & Omission) 혹은 제3자의 사이버공격으로 기업/기관의 재정적 손실을 야기 시키는 위험, 사용자 또는 기업의 데이터를 인질로 잡아 몸값을 요구하는 위험 등이 있음
ㅇ 보험에서의 비용이란 보험 계약 사이에서 피보험자는 납부하는 보험료가 비용으로 발생하고 보험회사는 지급하는 보험금이 비용으로 발생
- 피보험자는 자신의 위험을 관리하기 위하여 보험을 계약하고, 보험회사는 자신의 영업 이익을 위하여 계약을 진행하므로 계약 당사자들 서로 상충되는 관점의 계약을 하게 됨
- 피보험자는 일정한 비용을 지불하고 위험을 다른 주체에게 이전하거나 보험회사는 큰 보험집단을 구성하여 위험을 분산하고 있음
3) 국내 사이버보험 시장과 동향 분석
□ 국내 사이버보험 관련 법‧제도
ㅇ 국내에서 사이버보험이 명시된 법률에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 전자문서 및 전자거래 기본법, 전자금융거래법, 신용정보의 이용 및 보호에 관한 법률이 있음
□ 국내 사이버보험 시장 규모
ㅇ 국내 정보보호 관련 보험 상품은 정보통신망법의 집적정보통신시설(IDC) 사업자, 전자금융거래법의 금융기관, 전자문서 및 전자거래 기본법의 공인전자문서센터 등 특정 사업자가 의무적으로 가입해야 하는 의무보험과, 가입자의 자유의사에 따르는 임의보험으로 구분
ㅇ 사이버보험 시장규모는 2010년 약 79억에서, 2016년 322억 원으로 약 4배 증가
- 사이버 리스크에 비해서, 그리고 해외 선진 국가에 비해 낮은 수준
- 정부에서 9,586개 사업체를 대상으로 한 조사에 따르면, 사이버 리스크에 대비하는 대응 활동은 2016년에 17.1%의 업체만이 실시하고 있었고, 그 중에서 정보보호 관련 보험 가입을 했다고 응답한 업체는 1.3% 수준
4) 국내 기업의 사이버보험 가입 실태
□ 조사 개요
ㅇ 사이버보험 관련 현황, 인식 및 의견에 대한 조사·분석을 위해 한국침해사고대응팀협의회 회원사 100개 기업을 대상으로 설문조사를 실시하고 그 결과를 분석
- 응답 기업은 정보통신업(53%), 정부 및 공공서비스(11%), 금융 및 보험업(8%), 도매 및 소매업(8%), 제조업(6%), 의료업(3%), 출판 및 영상업(3%), 교육 서비스업(2%), 운수업(2%) 등으로 분포
□ 사이버보험 인식 및 가입 현황 조사
ㅇ 사이버보험의 존재 유무 파악 정도
- 조사 대상의 20%가 사이버보험에 대해 전혀 모른다고 응답하였으며, 잘 모르나, 들어본 적 있는 경우가 48%, 전체의 28% 응답자는 잘 알고 있는 것으로 나타남
ㅇ 리스크 관리 차원에서의 사이버보험의 필요성
- 필요한 편이라고 응답한 비율이 55.3%, 보통이다(26.6%), 매우 필요하다(13.8%), 필요하지 않은 편이다(4.3%) 순으로 분포
ㅇ 향후 사이버보험 가입 의향
- 가입 할 의향이 있다고 응답한 비율이 41.3%, 가입할 의향이 없다고 응답한 비율은 58.7%로 과반수이상 차지
- 가입 할 의향이 있다고 응답한 대상이 가입 시 보장받고자 하는 보장 항목은 개인정보 및 데이터 유출로 인한 손해배상 비용이 10%로 가장 높은 비율을 차지했고, 뒤를 이어서 사이버 테러에 의한 손실 비용(8.3%), 과태료 및 벌금(7.6%), 사이버 침해사고로 인한 유죄 판결 시 위자료 비용(7.3%) 해킹 및 바이러스로 인한 손해배상 비용(6.6%), 도난당한 정보의 노출로 인한 손해배상 비용(6.6%) 등의 순으로 나타났으며, 주로 3rd Party애 대한 보장 항목이 상품에 포함되기를 원하는 것으로 나타남
□ 국내 사이버보험시장의 비활성화 요인
ㅇ 첫째, 사고발생 시 보장에 대한 확신이 없어서 보험 가입이 낮은 것으로 파악됨.
잠재 리스크에 비해 실제 부담하는 리스크 비용이 적어 사이버보험을 통한 리스크 전가의 필요성이 없다고 인식하고 있는 경우도 많음
ㅇ 둘째, 보상 범위가 작아 수요기업의 니즈를 충족시키지 못하고 있고, 정보보호 사고 발생 시 사고 발생 경위 및 귀책사유에 대한 규명에 확신이 들지 않기 때문에 보험에 대한 기대도 낮은 게 현실임
ㅇ 셋째, 까다로운 가입조건과 가입 시 낮은 혜택도 비활성화의 원인임. 사이버 사고는 거대 손실로 이어질 수 있기 때문에 보험사 입장에서도 사이버보험 가입시 신중하게 판단하고 있는데, 수요기업 입장에서 보면 까다로운 보험 가입 절차는 가입 시 장애요소가 되고 있음
5) 사이버보험 활성화 방안
□ 수요 측면
ㅇ CISO/CPO 책임부담을 완화시키기 위한 사이버사고 특례조항 검토
- 사고 발생 시 사이버보험을 통해 문제를 민사적으로 원활히 해결하도록 유도하는 측면에서, 사이버사고특례 조항을 신설하여 CISO/CPO가 형사처벌 대상으로 정해지는 것을 제한
- 사이버보험에 가입한 경우 해당기업의 CPO가 형사 처벌 대상으로 정해져, 고발당하여 수사 받고, 공소제기까지 되는 것을 제한함으로써 CPO의 심리적인 부담감을 해소
ㅇ 보험가입 기업에 대한 인센티브 제공
- 정보통신망법 과태료 부과기준상에서 개인정보유출시 피해자에게 배상 할 수 있는 적정 수준의 사이버보험에 가입한 경우 과태료 및 과징금 감경
- 피보험자 유형을 소상공인, 중소기업, 대기업, 공공기관 등으로 유형화하고 이에 적합한 혜택 방안 마련
ㅇ 보안기업이 참여하는 3자 구조형 상품 개발 활성화
- 수요기업이 사이버보험에 가입하면 보험사와 제휴를 맺은 정보보호 기업이 주기적인 Health Check 서비스를 제공하고, 사고가 발생하면 정보보호 기업이 가입기업에 대해 One-stop 서비스를 제공
- 보험시장과 정보보호시장의 상생을 통해 사이버보험시장 활성화 기대 및 리스크 감소의 선순환 구조 형성, 궁극적으로 범국가적 사이버 리스크 감소에 기여
ㅇ 1st Party 손실 보장상품 개발 및 보급 활성화
- 사이버 사고로 인하여 기업휴지(Business Interruption)기간 동안의 총 이익의 감소분을 보장해주는 상품 활성화
- 수요 기업이 랜섬웨어 등으로 인하여 비즈니스 상 중요 데이터에 손실을 입거나 도난을 당하였을 때 이를 복구하기 위한 비용을 보장
- 보험 사고의 면밀한 조사를 위한 정보보안 전문가, 컴퓨터 포렌식(Computer Forensics)전문가 등의 전문가 활용 경비 보상
- 사이버 사고로 인하여 수요기업의 브랜드와 명성에 가해질 피해와 충격을 완화시키기 위하여 매체 관리 또는 광고 캠페인을 보장
ㅇ 중소기업 단체보험 활성화
- 중소기업용 맞춤형 단체보험 설계 추진을 통한 중소기업 보험 가입비용 부담 최소화 및 보험 가입률 제고
- 보안 컨설팅, 취약점 진단 무상지원 등 부가적인 서비스를 제공하여 중소기업의 정보보호 수준제고
□ 공급 측면
ㅇ 사이버 리스크 평가체계 구축
- 사이버보험 분야에서 제3의 리스크 평가기관을 두어 사이버 리스크 종합컨설팅을 통해 보험 대상범위에 대한 체계적인 평가와 분석 수행, 위험관리에 최적의 전략과 종합적인 사이버 위험관리 솔루션 제시
- 보험사가 보험 인수 여부, 보험요율 및 보유율 결정 시 합리적인 의사결정을 할 수 있도록 지원
ㅇ 사이버 사고 데이터 가공 및 공유
- 보험사 간 합리적인 사이버 리스크 손실 추정, 보험설계 효율화를 위해 외부 공격 및 유출사고 등에 관한 통합된 사고 유형별·대상별 DB구축
- 사이버 위협정보 및 분석정보를 민간보험회사 데이터와 연계·통합하여 활용하는 사이버 리스크 데이터 공유센터 구축
- KISA에서 보유한 사이버 사고 데이터 비식별처리 및 활용을 통해 평균적 위험 및 산업별 위험 평가, 적절한 보험요율 산출에 활용
ㅇ 의무가입 대상자 점진적 확대
- 2016년 기준 사이버보험시장 규모는 322억 원으로 사이버보험 시장의 규모가 크지 않아 손해보험사 입장에서도 사이버 사고로 인한 리스크 관리가 어려움
- 정보통신망법상 의무화대상자인 집접정보통신시설(IDC)사업자에서 단계적으로 보험가입 의무화 대상자를 확대
- 매출액이 1,500억원 이상인 ISMS 의무대상자 기업 중에서 고객정보가 1천만명 이상인 기업, 연간 예산이 1,500억원 이상인 공공기관이나 기반시설을 보유하고 있는 공공기관 등으로 확대
- 매출액 1,000억 이상의 집적정보통신시설(IDC) 사업자에게는 최저가입 보험금액을 100억 원으로 상향조정
□ 이용자 측면
ㅇ 사업자 책임강화 및 이용자 피해구제 지원
- 사이버 사고의 특성상 과실책임주의를 통한 손해배상청구에 한계가 있기 때문에, 장기적인 측면에서는 무과실 책임 인정 뿐만 아니라 인과관계 추정 법리 적용 등을 통해 사업자의 책임을 강화
- 무과실 책임, 인과관계 추정에 의한 책임까지는 보험을 통해 구제하고, 책임한도를 넘는 피해에 대해서는 구제급여를 지급하는 Two Track 지원 정책 추진
□ 사이버보험 도입으로 예상되는 역기능 대응
ㅇ 역선택 및 대응방안
- 계약자의 사이버 리스크에 대한 취약성 평가를 위해 해당 기업의 규모, 산업, 기업이 보유하는 정보의 양, 제3자와의 관계, 보안행태 등을 검토
- 위험요소 평가, 취약성 평가, 손실 평가 등 언더라이팅 과정에서 보험계약자가 가진 사이버리스크를 평가함으로써 기업의 유형을 어느 정도 구분할 수 있으며, 이를 통해 역선택 문제를 어느 정도 경감시킬 수 있을 것임
ㅇ 도덕적 해이 및 대응방안
- 사이버보험 맥락에서의 도덕적 해이는 사이버보험 계약자가 보험가입 후, 사이버 리스크에 대한 사이버 보안 조치를 소홀히 하는 현상으로 보험사가 도덕적 해이를 경감시키기 위한 방법으로 보험료 차별화를 통한 방법, 자기부담금 또는 공동부담금을 통한 방법, 면책조항을 이용하는 방법이 있음
(출처 : 요약문 11p)
Abstract
▼
4. Research Results
1) Global Cyber Insurance Market Trend
ㅇ Global: The global economic loss due to cyber risk is about $ 445 billion (0.8% of global GDP). The size of the cyber insurance market is expected to grow rapidly from around US $ 2 billion by 2015 to 20 billion by 2025
ㅇ Unit
4. Research Results
1) Global Cyber Insurance Market Trend
ㅇ Global: The global economic loss due to cyber risk is about $ 445 billion (0.8% of global GDP). The size of the cyber insurance market is expected to grow rapidly from around US $ 2 billion by 2015 to 20 billion by 2025
ㅇ United States: It accounts for 90% of the global cyber insurance market. As of 2017, the US cyber insurance market is estimated at US $ 4 billion annually, and is expected to grow by 10-25% in the future.
ㅇ UK: The cyber insurance market is estimated to be about 1.5% of the global market (about 20 million to 25 million GBP)
ㅇ Japan: The information security insurance market accounts for 3.3%, and the market size is estimated to be about 15.6 billion JPY by 2017
2) Definition of risks and costs in cyber insurance
ㅇ Risk in insurance means the possibility of loss or disaster, which include uncertainties (economic losses) and uncertainty about the occurrence of such events.
ㅇ The cost of insurance is the cost of insurance premiums paid by insured persons between insurance contracts. And the insurer pays the insurance money to be paid.
3) Domestic cyber insurance market and trend analysis
ㅇ The size of the cyber insurance market has increased four times, from about 7.9 billion in 2010 to 32.2 billion won in 2016.
- Compared to cyber risk, the market size is lower than overseas advanced countries.
- According to a survey conducted by the government on 9,586 businesses, only 17.1% of the companies responded to cybercrime in 2016, of which 1.3% responded that they had insurance for cyber security .
4) Actual status of cyber insurance in domestic companies
ㅇ 20% of respondents answered that they do not know cyber insurance at all. 48% of respondents answered that they did not know cyber insurance, and 28% of respondents knew it.
ㅇ 41.3% answered that they intend to join cyber insurance in the future, and 58.7% said they did not intend to join.
5) Cyber insurance cultivating plan
ㅇ On the Demand side: Establishment of cyber accident exception clause to alleviate CISO/CPO burden, Provide incentives for companies with insured insurance, such as Penalties and penalties reduction, Activation of the development of 3-tier structured products involving security companies, 1st party loss guarantee product development and promotion activation, Activation of small business group insurance
ㅇ On the Supply side: Develop Cyber Risk Evaluation System, Cyber incident data processing and sharing, Gradual expansion of mandatory insured
ㅇ On the User side: Strengthening business responsibility and relieving user damage
(출처 : SUMMARY 23p)
목차 Contents
- 표지 ... 1
- 제 출 문 ... 3
- 목차 ... 4
- 표목차 ... 6
- 그림목차 ... 9
- 요 약 문 ... 10
- SUMMARY ... 23
- CONTENTS ... 27
- 제 1 장 서 론 ... 28
- 제 1 절 연구의 목적 ... 28
- 제 2 절 연구의 범위 및 주요 내용 ... 30
- 제 2 장 글로벌 사이버보험 동향 조사 ... 31
- 제 1 절 전세계 사이버보험 시장 동향 ... 31
- 제 2 절 미국의 사이버보험 시장 동향 ... 34
- 제 3 절 영국의 사이버보험 시장 동향 ... 53
- 제 4 절 일본의 사이버보험 시장 동향 ... 63
- 제 5 절 표준화 관련 동향 ... 74
- 제 3 장 사이버보험에서의 위험과 비용 정의 ... 79
- 제 1 절 보험 상품의 분류 및 상품개발 프로세스 ... 79
- 제 2 절 손해보험의 역사 및 확산 동인 ... 89
- 제 3 절 사이버보험의 위험과 비용 정의 ... 98
- 제 4 장 국내 사이버보험 시장과 동향분석 ... 107
- 제 1 절 국내 사이버 리스크 현황 ... 107
- 제 2 절 국내 사이버보험 관련 법·제도 ... 110
- 제 3 절 국내 사이버보험 시장 규모 ... 116
- 제 4 절 국내 사이버보험 상품 ... 120
- 제 5 장 국내 기업의 사이버보험 가입실태 ... 131
- 제 1 절 조사 개요 ... 131
- 제 2 절 사이버보험 인식 및 가입 현황 조사 ... 133
- 제 3 절 국내 사이버보험시장의 비활성화 요인 ... 140
- 제 6 장 사이버보험 활성화 방안 ... 143
- 제 1 절 수요 측면 ... 144
- 제 2 절 공급 측면 ... 160
- 제 3 절 이용자 측면 ... 173
- 제 4 절 사이버보험 도입으로 예상되는 역기능 대응 ... 176
- 제 7 장 결 론 ... 179
- 제 8 장 정부정책 반영현황 ... 182
- 참 고 문 헌 ... 183
- 끝페이지 ... 187
※ AI-Helper는 부적절한 답변을 할 수 있습니다.